Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 2 vistas

    Practica VPN

    Cargado por

    Maryorie Eilin Palacios Quijada

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Practica VPN

    Cargado por

    Maryorie Eilin Palacios Quijada
    2 vistas3 páginas

    Título original

    Practica_VPN

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    2 vistas3 páginas

    Practica VPN

    Cargado por

    Maryorie Eilin Palacios Quijada

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 3

    Laboratorio de Administración de Redes 2018

     Integridad asegurando que los datos no han sido manipulados o alterados


    Prá ctica Extra, VPN (algoritmos de hashing).
     Autenticación al confirmar la identidad del host que envía los datos (usando
    claves precompartidas o usando una autoridad certificadora).
    Objetivos  Contra replicación (anti‐replay) al evitar la duplicación de paquetes cifrados
     Aprender a definir políticas de seguridad para configurar un enlace VPN. (asignación de identificador de secuencia único).

    Los protocolos que conforman a IPSEC son:

    Introducción  AH (Authentication Header) Su función es proveer servicios de autenticación e


    La VPN (Virtual Private Network) o Red Privada Virtual permite proveer un canal de integridad. Utiliza algoritmos de hash para obtener valores hash del encabezado
    comunicación (túnel) seguro a través de una red pública (insegura), evitando los altos y cuerpo de paquete.
    costos de los enlaces dedicados equivalentes. Una VPN puede habilitarse para  ESP (Encapsulation Security Payload) provee servicios de confidencialidad,
    interconectar: autenticación e integridad. ESP realiza cifrado y por tanto se considera más
    seguro que AH.
     Un usuario único a una red (client to site connection).
     Oficinas remotas a una oficina central (site to site connection). Cada uno de los protocolos de IPSEC (AH y ESP) pueden operar en 2 modos:
     Dos usuarios únicos (client to client connection).
     Modo transporte. Los encabezados originales IP se dejan intactos. Se utiliza
    Una VPN puede implementarse en diferentes capas del modelo de referencia OSI. cuando se desea asegurar la comunicación de un dispositivo único a otro
    Cuando se configura una VPN en una capa determinada del modelo, sólo hay dispositivo (client to client).
    protección desde esa capa hacia los niveles superiores.  Modo túnel. Al paquete original se le aplican cifrado y/o hashing (encabezados
    y datos del paquete). Se genera un encabezado temporal para transportar el
     Capa de enlace de datos. Su principal ventaja es soportar protocolos no IP. Los
    paquete a través del túnel.
    principales protocolos son: PPTP (Point to Point Tunneling Protocol), L2P (Layer
    2 Forwarding), L2TP (Layer 2 Tunneling Protocol), L2SP (Layer 2 Security
    IKE (Internet Key Exchange) para la asociación de
    Protocol).
     Capa de Red. IPSEC (IP Security). seguridad en IPSEC
     Capa de Aplicación. SSH, SSL, TLS. Una asociación de seguridad (SA) es el establecimiento de atributos de seguridad
    compartidos entre 2 entidades de red para soportar la comunicación segura. IKE es
    IP Security (IPSec) utilizado para establecer una SA. IKE debe definir un conjunto de políticas de
    Es una pila de protocolos y estándares que permiten proteger el tráfico que viaja seguridad (manejadas con ISAKMP ‐Internet Security Association and Key
    sobre una red insegura (por ejemplo, Internet). Los servicios que provee IPSEC son: Management Protocol‐) por cada participante. Los valores que componen una
    política de seguridad son:
     Confidencialidad al evitar el robo de las datos (algoritmos cifrado).
     Algoritmo de cifrado (DES, 3DES, AES).
    1 Elaboraron: M. C. Javier León Cotonieto e Ing. Aldo Jiménez Arteaga
    Laboratorio de Administración de Redes 2018

     Algoritmo de hashing (MD5, SHA‐1). Router(config)# crypto isakmp enable


     Método de autenticación (clave precompartida o firmas RSA). Router(config)# crypto isakmp policy 1
     Grupo de Diffie‐Hellman (DH) para crear y compartir llaves. Router(config-isakmp)# authentication pre-share
     Tiempo de vida de la asociación de seguridad (segundos o KB enviados). Router(config-isakmp)# encryption aes
    Router(config-isakmp)# hash sha
    IKE funciona en 2 fases de negociación: Router(config-isakmp)# group 2
    Router(config-isakmp)# exit
    Fase 1. Establece un túnel inicial (conocido como túnel IKE o ISAKMP‐SA) para
    autenticación usando intercambio por Diffie‐Hellman (canal bidireccional ISAKMP‐SA Una vez establecida la política, se requiere establecer un conjunto de
    único). transformaciones en ambos routers para poder comunicarse en el canal (cómo se
    utilizará la política dada de alta):
    Fase 2. Con el canal seguro establecido en la fase 1, los participantes negocian la
    asociación de seguridad de otros servicios (IPSec SA). Al menos 2 canales (envío y Router(config)# crypto isakmp key [VPNPASS] address [PEER] 0.0.0.0
    recepción) unidireccionales (IPSec Transform Set) son establecidos. Router(config)# crypto ipsec transform-set [VPNTS] esp-aes esp-sha-hmac
    Router(config)# crypto ipsec security-association lifetime seconds 86400

    donde VPNPASS es la clave sin cifrar que se intercambiará para el acceso a la VPN;
    Material PEER es la dirección de final del túnel VPN, por ejemplo, si se configura Router0 el
    1 PC con Packet Tracer. final del túnel es la dirección pública de Router1; VPNTS es el nombre del conjunto
    de transformaciones. Nótese que la wildcard del PEER es 0.0.0.0, lo cual designa a un
    solo host.
    Desarrollo
    Utiliza la topología creada y configurada en el previo para desarrollar la práctica de Es necesario utilizar una lista de acceso extendida para ligarla a la política, al conjunto
    esta sesión. de transformaciones y al mapa criptográfico de la VPN. El objetivo de la lista es darle
    a conocer al router qué tráfico está permitido ingresar a la VPN y qué tráfico no.
    Configuración de una VPN
    Una VPN es un enlace cifrado a través de un canal inseguro. El túnel cifrado entre Router(config)# access-list 102 permit ip [SRC] [WILDCARD_SRC] [DTN] [WILDCARD_DTN]
    redes privadas se establecerá entre los routers Router0 y Router1, donde los
    donde SRC es la dirección de red de la red privada conectada al router que se está
    segmentos LAN privada y VLAN 35 serán las redes comunicadas por la VPN.
    configurando (origen), WILDCARD_SRC es la respectiva máscara wildcard; en tanto
    Como primer paso, es necesario que los routers se pongan de acuerdo en la forma de que DTN es la dirección de red de la red privada conectada al otro extremo del túnel
    autenticarse. Para ello es necesario el establecimiento de una negociación para el (destino), y WILDCARD_DTN es la respectiva máscara wildcard de dicha red privada.
    intercambio de autenticación; esto se logra mediante el servicio ISAKMP, que Por ejemplo, si se está configurando Router0, la red privada será la VLAN 35 con
    indicará la política de cifrado y autenticación de la VPN. Cada enlace VPN requiere de segmento de red 197.Y.X.0, el origen (SCR); la red de destino es la red privada
    su propia política para el uso de algoritmos en el canal de comunicación. conectada a Router1: 197.Y.X.64, el destino (DTN).

    2 Elaboraron: M. C. Javier León Cotonieto e Ing. Aldo Jiménez Arteaga


    Laboratorio de Administración de Redes 2018

    Una vez establecidos la política y el conjunto de transformaciones, el router debe En este caso, se debe mostrar que la VPN ya está activa. Para verificar que los
    saber cómo y dónde aplicar dichas configuraciones; para ello se construye el mapa paquetes están siendo cifrados a nivel de red, ejecuta el modo de simulación de
    criptográfico que indicará cuál es el destino del túnel creado, sobre qué interface Packet Tracer y analizalos en su camino de una VPN a otra.
    debe aplicarse, qué política de autenticación se usará y cómo se hará el cifrado de
    datos. El mapa criptográfico enlaza la política de cifrado, el conjunto de
    transformaciones y se aplica a la interface de salida del router que se está
    configurando. Se requiere un mapa por cada enlace VPN que se requiera configurar,
    así como la lista de control de acceso adecuada. Cuestionario
    ¿Qué beneficios aporta una comunicación mediante VPN?
    Router(config) #crypto map [VPNMAP] 100 ipsec-isakmp
    Router(config-crypto-map) #match address 102
    Router(config-crypto-map) #set peer [PEER]
    Router(config-crypto-map) #set pfs group2
    Router(config-crypto-map) #set transform-set [VPNTS]
    Router(config-crypto-map) #exit
    Router(config) #interface Fa0/1
    Router(config-if) #crypto map [VPNMAP]

    donde VPNMAP es el nombre del mapa criptográfico. ¿Qué tipo de VPN, atendiendo al tipo de conexión, se configuró en el
    ejercicio?
    Este proceso debe realizarse en los dos routers que conectan las redes privadas
    (Router0 y Router2). Si se configura un solo router, se perderá la comunicación entre
    dichas redes, ya que el router perteneciente a la VPN no podrá autenticar a uno de
    los segmentos.

    Verifica con los siguientes comandos que la VPN está configurada correctamente.
    Mencione los elementos que le dan la confidencialidad a la VPN.
    Router# show crypto isakmp policy
    Router# show crypto isakmp sa
    Router# show crypto map
    Router# show crypto ipsec transform-set

    Argumenta qué muestra la salida de cada comando. Envía un ping de una Intranet a
    otra y verifica la asociación de seguridad con

    Router# show crypto isakmp sa

    3 Elaboraron: M. C. Javier León Cotonieto e Ing. Aldo Jiménez Arteaga

    También podría gustarte